Se gli aggressori riescono ad accedere all’organizzazione, lanceranno una seconda ondata della campagna, che consisterà nell’invio di ulteriori e-mail di phishing a obiettivi esterni all’organizzazione e al suo interno.
Aree bersaglio
Il team di intelligence sulle minacce di Microsoft 365 sta monitorando una campagna di malware destinata alle organizzazioni in Australia e nel sud-est asiatico.
Per ottenere informazioni sui loro obiettivi, gli aggressori hanno inviato e-mail di phishing che sembravano essere state inviate da DocuSign. Quando gli utenti hanno fatto clic sul pulsante Visualizza documento , sono stati indirizzati a una pagina di accesso falsa di Office 365 precompilata con i loro nomi utente.
“Le credenziali rubate della vittima sono state immediatamente utilizzate per stabilire una connessione a Exchange Online PowerShell, molto probabilmente utilizzando uno script automatico come parte di un kit di phishing. Utilizzando una connessione remota di PowerShell, l’autore dell’attacco ha inserito una regola della posta in arrivo utilizzando il cmdlet New-InboxRule che rimuoveva determinati messaggi in base alle parole chiave nell’oggetto o nel corpo del messaggio di posta elettronica”, ha sottolineato il team di intelligence.
Il filtro rimuove automaticamente i messaggi contenenti determinate parole associate a spam, phishing, spam, hacking e protezione con password, in modo che l’utente legittimo dell’account non riceva NDR e notifiche e-mail IT che altrimenti potrebbero vedere.
Gli aggressori hanno quindi installato Microsoft Outlook sul proprio computer e lo hanno collegato ad Azure Active Directory dell’organizzazione vittima, eventualmente accettando la richiesta di registrare Outlook al primo avvio.
Infine, una volta che la macchina è diventata parte di un dominio e il client di posta elettronica è stato configurato come qualsiasi altro uso comune nelle organizzazioni, le e-mail di phishing da un account compromesso, i falsi inviti di Sharepoint che rimandavano a una pagina di accesso falsa di Office 365 sono diventati più convincenti.
“Le vittime che hanno immesso le proprie credenziali nel secondo passaggio del sito di phishing sono state collegate in modo simile a Exchange Online PowerShell e quasi immediatamente è stata creata una regola per eliminare i messaggi di posta elettronica nelle rispettive cassette postali. La regola aveva le stesse caratteristiche della regola creata nella prima fase dell’attacco della campagna”, ha detto il team.
Come andare in giro
Gli aggressori facevano affidamento su credenziali rubate; tuttavia, diversi utenti avevano abilitato l’autenticazione a più fattori (MFA), che ha impedito il furto.
Il team ha consigliato alle organizzazioni di abilitare l’autenticazione a più fattori per tutti gli utenti e di richiederla quando i dispositivi sono aggiunti ad Azure AD e di prendere in considerazione la disabilitazione di Exchange Online PowerShell per gli utenti finali.
Microsoft ha anche condiviso avvisi sulle minacce per aiutare le organizzazioni a verificare se i loro utenti sono stati compromessi durante questa campagna e ha affermato che i difensori dovrebbero anche revocare le sessioni attive e i token associati agli account compromessi, rimuovere le regole delle cassette postali create dagli aggressori e disabilitare e rimuovere i dispositivi dannosi a cui hanno aderito . ad Azure AD.
“Il continuo miglioramento della visibilità e della protezione dei dispositivi gestiti sta costringendo gli aggressori a cercare percorsi alternativi. Sebbene in questo caso la registrazione del dispositivo sia stata utilizzata per ulteriori attacchi di phishing, l’uso della registrazione del dispositivo è in aumento poiché sono stati osservati altri casi d’uso. Inoltre, l’immediata disponibilità di strumenti di test di penetrazione progettati per facilitare questa tecnica non farà che aumentare il suo utilizzo da parte di altri in futuro”, ha affermato il team.
Scappatoie che vale la pena cercare
Gli analisti di intelligence sulle minacce di Microsoft hanno recentemente notato una campagna di phishing rivolta a centinaia di aziende, questa volta un tentativo di indurre i dipendenti a fornire un’app chiamata “Aggiorna” l’accesso ai loro account di Office 365.
“Le e-mail di phishing inducono gli utenti a concedere autorizzazioni alle app che potrebbero consentire agli aggressori di creare regole per la posta in arrivo, leggere e scrivere e-mail ed elementi del calendario e leggere i contatti. Microsoft ha disattivato l’applicazione in Azure AD e ha informato i clienti interessati”, hanno affermato.
Gli aggressori possono anche aggirare l’autenticazione a più fattori di Office 365 utilizzando app non autorizzate, rubando codici di autorizzazione o ottenendo in altro modo token di accesso anziché le proprie credenziali.
Sei mai stato vittima di questi attacchi hacker prima d’ora? Condividi la tua esperienza con noi nella sezione commenti qui sotto.
Lascia un commento